Механізми керування паролями в IE та Firefox, частина друга

паролями

Mikhael Felker, Securityfocus.com Переклад SecurityLab.ru

Вступ та перегляд частиниI

  • Механізми збереження паролів, способи захисту імен користувачів та паролів на локальній файловій системі за допомогою шифрування (частина I).
  • Атаки на менеджери паролів: методи обходу захисту (частково у частині I продовження частини II).
  • Хибне почуття безпеки: використання користувачами менеджерів паролів без усвідомлення факторів ризику.
  • Зручність у використанні: функціонал, який посилює або послаблює заходи безпеки.
  • Контрзаходи: дії, які користувачі та корпорації можуть вжити, щоб уникнути факторів ризику.

4.2. Вразливість у реалізації менеджера паролівFirefox 2.0. (Реверсивний міжсайтовий скриптинг).

4.3 Розкриття паролів уInternetExplorer.4.3.1. Відновлення паролів. Багато компаній володіють комерційними програмами, що дозволяють відновлювати паролі з AutoComplete в IE.

ElcomSoft виробляє програму Advanced Internet Explorer Password Recovery (AIEPR). Як зазначено на їхньому сайті, вона може відновити будь-яку інформацію в AutoCpmplete будь-якої версії IE від 3 до 6 за умови, що користувач знаходиться в системі. Доступні також безкоштовні програми, такі як PassView для версії 7 IE.

4.3.2. Зловмисне ПЗ.

Internet Explorer зазвичай є основною метою встановлення зловмисних програм, дії яких спрямовані проти AutoComplete. Ці програми отримують конфіденційну інформацію і потім надсилають її атакуючому. BackDoor-AXJ є троянською програмою, яка зберігає інформацію AutoCoplete та інших програм на машині, що піддаєтьсяатаці, а потім відсилає її назад зловмиснику. Srv.SSA-KeyLogger є таким бекдором, який приховано встановлюється в Internet Explorer і діє як кілогер. Він, також, звертається до AutoComplete, краде дані із захищеного сховища і відсилає їх методом HTTP GET.

4.4 Розкриття паролів уFirefox

Firefox 2.0Tools/ Options/ Security/ Show Passwords/ Show Passwords

4.4.2. Атаки на основний пароль Нещодавно були розроблені інструменти для проведення атак на паролі в основний пароль у Firefox. Наразі здійсненні наступні атаки:

  • Атаки грубої сили
  • Атаки за словником
  • Гібридні атаки

За правилами безпеки дві особи не повинні використовувати один і той же обліковий запис на одному комп'ютері; проте цей сценарій все ж таки є ризиком для безпеки, оскільки не всі компанії йдуть найкращим шляхом. До того ж існує схожий ризик, якщо кілька імен користувачів/паролей випадково вводяться некоректно на певному сайті (наприклад, помилкове введення двох логінів для різних банківських сайтів). Ця інформація буде збережена (навіть якщо вона не використовується), і може бути скомпрометована через деякий час у майбутньому, при цьому власник інформації не знатиме про це.

4.4.4 Атаки на відмову в обслуговуванні. Будь-який користувач або програма з правом доступу до локального профілю користувача на файловій системі може потенційно атакувати цілісність та доступність менеджера паролів. Якщо видалити або модифікувати необхідні файли (keyN. db, certN.db, secmod.db, signons.db і signons.txt) в результаті не можна буде відновити жодні імена користувачів або паролі. Найбільш важливі з цих файлів - keyN.db і signons.txt,яких зберігаються приватні ключі та зашифровані дані відповідно.

Таким чином, якщо ці файли видалені або модифіковані і менеджер паролів більше не доступний, все ж таки буде можливо відновити базу даних паролів, скопіювавши файли назад у директорію профілю Firefox.

5. Хибне почуття безпеки. Коли користувачі наївно використовують системи менеджерів паролів у Web браузерах вони недостатньо поінформовані, і не повністю усвідомлюють пов'язані з цим ризики. Небезпека цього полягає в необережності, з якою зберігаються імена користувачів та паролі для доступу до звичайних новинних сайтів або чогось важливішого, як фінансова інформація на online біржі. Користувачі очікують, що браузер, можливо, спільно з операційною системою, захистить дані. Насправді ж небезпека повної компрометації буде реалізована простіше, ніж очікують того користувачі. Веб браузери, як програми, особливо небезпечні, оскільки встановлені на більшості комп'ютерних систем, якими користуються всі, і зберігають усі імена користувачів та паролі, які вводить користувач. Всі ці фактори роблять Web браузери спокусливою метою для зловмисників.